Za informatičare

Stručnjaci zaduženi za održavanje skriptnog jezika PHP upozoravaju korisnike da izbjegavaju najnoviju nadogradnju paketa, inačicu 5.3.7. Navedena inačica, izdana prošli tjedan, sadrži neke sigurnosne propuste vezane uz kriptografske funkcije „crypt()“, koja rastavlja i šifrira niz znakova. Naime ako se funkcija koristi s algoritmom za kriptiranje MD5 i dodatnim slučajnim znakovima za otežavanje otkrivanja izvornog sadržaja, ona vraća samo dodatne slučajne podatke, a ne cijeli kriptirani niz znakova. Propust je objavljen prošle srijede, a u izvješću se navodi kako se problem javlja samo u kombinaciji funkcije „crypt()“ i algoritma za šifriranje MD5. U slučaju kada se koriste algoritmi DES ili funkcija Blowfish opisani problem nije uočen. Nadogradnja 5.3.7. donosi rješenja za neke veće sigurnosne propuste iz prošle inačice pa je dan nakon objave ovog upozorenja ipak izdana korisnicima. Međutim stručnjaci su savjetovali korisnicima da pričekaju inačicu 5.3.8. koja će biti uskoro izdana te će sadržavati ispravke za ovaj problem. Izvorna vijest nalazi se na web stranicama portala The Register.